El equipo de investigación de ESET, descubrió una campaña dirigida a clientes de distintos bancos cuyo objetivo principal era facilitar retiros no autorizados de cajeros automáticos de las cuentas de las víctimas. El malware utilizado, que ESET denominó NGate, tiene la capacidad única de transmitir datos de tarjetas de pago a través de una aplicación maliciosa instalada en el dispositivo Android de la víctima, al teléfono rooteado del atacante.
Principales hallazgos de ESET:
Los investigadores de ESET descubrieron que los atacantes utilizaron técnicas maliciosas estándar, como el pishing o malware, en un nuevo escenario de ataque. En esta ocasión, se enviaban mensajes que simulaban ser de distintos bancos.
Según esta misma empresa, el grupo había operado desde noviembre de 2023 en Chequia y,desde marzo de 2024, implementaron el malware NGate.
Las víctimas descargaron e instalaron el malware después de haber sido engañadas al pensar que se estaban comunicando con su banco y que su dispositivo estaba comprometido. En realidad, las mismas sin saberlo habían comprometido sus propios dispositivos Android al descargar e instalar una aplicación desde un enlace en un mensaje SMS engañoso sobre una posible declaración de impuestos. Desde ESET destacan que NGate nunca estuvo disponible en la tienda oficial Google Play.
Las extracciones no autorizadas de cajeros automáticos se lograron retransmitiendo datos de comunicación de campo cercano (NFC) de las tarjetas de pago físicas de las víctimas, a través de sus teléfonos inteligentes Android comprometidos, mediante el malware NGate para Android, al dispositivo del atacante.
“No hemos visto esta novedosa técnica de retransmisión NFC en ningún malware para Android descubierto anteriormente. La técnica se basa en una herramienta llamada NFCGate, diseñada por estudiantes de la Universidad Técnica de Darmstadt, Alemania, para capturar, analizar o alterar el tráfico NFC; por lo tanto, llamamos a esta nueva familia de malware NGate”, dice Lukáš Štefanko, Investigador de ESET quien descubrió la amenaza y la técnica.
Además de sus capacidades de phishing, el malware NGate también viene con una herramienta llamada NFCGate, que se utiliza indebidamente para transmitir datos NFC entre dos dispositivos: el dispositivo de la víctima y el dispositivo del perpetrador. Algunas de estas funciones solo funcionan en dispositivos rooteados; sin embargo, en este caso, la transmisión de tráfico NFC también es posible desde dispositivos no rooteados. NGate también solicita a sus víctimas que ingresen información confidencial como su ID de cliente bancario, fecha de nacimiento y el código PIN de su tarjeta bancaria. Luego, se les indica a las víctimas que coloquen su tarjeta de pago en la parte posterior de su teléfono inteligente hasta que la aplicación maliciosa reconozca la tarjeta.
“Para garantizar la protección contra ataques tan complejos es necesario utilizar ciertas medidas proactivas contra tácticas como el phishing, la ingeniería social y el malware para Android. Esto significa verificar las URL de los sitios web, descargar aplicaciones de las tiendas oficiales, mantener los códigos PIN en secreto, usar aplicaciones de seguridad en los teléfonos inteligentes, desactivar la función NFC cuando no sea necesaria, usar fundas protectoras o usar tarjetas virtuales protegidas por autenticación”, aconseja Štefanko.
